EKS 防护调查发现类型 - Amazon GuardDuty
CredentialAccess:Kubernetes/MaliciousIPCallerCredentialAccess:Kubernetes/MaliciousIPCaller.CustomCredentialAccess:Kubernetes/SuccessfulAnonymousAccessCredentialAccess:Kubernetes/TorIPCallerDefenseEvasion:Kubernetes/MaliciousIPCallerDefenseEvasion:Kubernetes/MaliciousIPCaller.CustomDefenseEvasion:Kubernetes/SuccessfulAnonymousAccessDefenseEvasion:Kubernetes/TorIPCallerDiscovery:Kubernetes/MaliciousIPCallerDiscovery:Kubernetes/MaliciousIPCaller.CustomDiscovery:Kubernetes/SuccessfulAnonymousAccessDiscovery:Kubernetes/TorIPCallerExecution:Kubernetes/ExecInKubeSystemPodImpact:Kubernetes/MaliciousIPCallerImpact:Kubernetes/MaliciousIPCaller.CustomImpact:Kubernetes/SuccessfulAnonymousAccessImpact:Kubernetes/TorIPCallerPersistence:Kubernetes/ContainerWithSensitiveMountPersistence:Kubernetes/MaliciousIPCallerPersistence:Kubernetes/MaliciousIPCaller.CustomPersistence:Kubernetes/SuccessfulAnonymousAccessPersistence:Kubernetes/TorIPCallerPolicy:Kubernetes/AdminAccessToDefaultServiceAccountPolicy:Kubernetes/AnonymousAccessGrantedPolicy:Kubernetes/ExposedDashboardPolicy:Kubernetes/KubeflowDashboardExposedPrivilegeEscalation:Kubernetes/PrivilegedContainerCredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreatedExecution:Kubernetes/AnomalousBehavior.ExecInPodPrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainerPersistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMountExecution:Kubernetes/AnomalousBehavior.WorkloadDeployedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreatedDiscovery:Kubernetes/AnomalousBehavior.PermissionChecked
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

EKS 防护调查发现类型

以下调查发现特定于 Amazon EKS 资源,并且 resource_typeEKSCluster。调查发现的严重性和详细信息将因调查发现类型而异。

对于所有 EKS 审计日志类型的调查发现,我们建议您检查相关资源,以确定该活动是正常的活动还是潜在的恶意活动。有关如何修复 GuardDuty 调查发现所识别失陷 EKS 审计日志资源的指南,请参阅修复 EKS 防护调查发现

注意

如果生成这些调查发现的活动是正常的活动,则应考虑添加 GuardDuty 中的抑制规则 以防将来发出警报。

主题
注意

在 Kubernetes 版本 1.14 之前,该 system:unauthenticated 组默认与 system:discoverysystem:basic-user ClusterRoles 相关联。这种关联可能导致匿名用户意外访问。更新集群不会撤消这些权限。即使您将集群更新到版本 1.14 或更高版本,这些权限仍可能处于启用状态。我们建议您取消这些权限与 system:unauthenticated 组的关联。有关撤销这些权限的指南,请参阅《Amazon EKS 用户指南》中的 Amazon EKS 安全最佳实践

CredentialAccess:Kubernetes/MaliciousIPCaller

已知的恶意 IP 地址调用了常用于访问 Kubernetes 集群中凭证或机密的 API。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。观测到的 API 通常与凭证访问策略有关,在这种策略中,攻击者会试图收集 Kubernetes 集群的密码、用户名和访问密钥。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了常用于访问 Kubernetes 集群中凭证或机密的 API。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API 操作。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。观测到的 API 通常与凭证访问策略有关,在这种策略中,攻击者会试图收集 Kubernetes 集群的密码、用户名和访问密钥。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

未经身份验证的用户调用了通常用于访问 Kubernetes 集群中凭证或机密的 API。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,system:anonymous 用户成功调用了 API 操作。由 system:anonymous 发出的 API 调用未经身份验证。此 API 通常与凭证访问策略有关,在这种策略中,攻击者会试图收集 Kubernetes 集群的密码、用户名和访问密钥。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。

修复建议:

您应检查集群上已授予 system:anonymous 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅《Amazon EKS 用户指南》中的 Amazon EKS 安全最佳实践

有关更多信息,请参阅 修复 EKS 防护调查发现

CredentialAccess:Kubernetes/TorIPCaller

Tor 出口节点 IP 地址调用了常用于访问 Kubernetes 集群中凭证或机密的 API。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,Tor 出口节点 IP 地址调用了 API。观测到的 API 通常与凭证访问策略有关,在这种策略中,攻击者会试图收集 Kubernetes 集群的密码、用户名和访问密钥。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问您的 Kubernetes 集群资源,并意图隐藏攻击者的真实身份。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

DefenseEvasion:Kubernetes/MaliciousIPCaller

已知的恶意 IP 地址调用了常用于逃避防御措施的 API。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。观测到的 API 通常与逃避防御策略有关,在这种策略中,攻击者试图隐藏自己的行为以避免被发现。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了常用于逃避防御措施的 API。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API 操作。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。观测到的 API 通常与逃避防御策略有关,在这种策略中,攻击者试图隐藏自己的行为以避免被发现。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

未经身份验证的用户调用了常用于逃避防御措施的 API。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,system:anonymous 用户成功调用了 API 操作。由 system:anonymous 发出的 API 调用未经身份验证。此 API 通常与逃避防御策略有关,在这种策略中,攻击者试图隐藏自己的行为以避免被发现。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。

修复建议:

您应检查集群上已授予 system:anonymous 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅《Amazon EKS 用户指南》中的 Amazon EKS 安全最佳实践

有关更多信息,请参阅 修复 EKS 防护调查发现

DefenseEvasion:Kubernetes/TorIPCaller

Tor 出口节点 IP 地址调用了常用于逃避防御措施的 API。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,Tor 出口节点 IP 地址调用了 API。观测到的 API 通常与逃避防御策略有关,在这种策略中,攻击者试图隐藏自己的行为以避免被发现。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问您的 Kubernetes 集群,并意图隐藏攻击者的真实身份。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

Discovery:Kubernetes/MaliciousIPCaller

某个 IP 地址调用了一个常用于发现 Kubernetes 集群中资源的 API。

默认严重级别:中

  • 功能:EKS 审计日志

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。此 API 通常用于攻击的发现阶段,攻击者在该阶段会收集信息,以确定 Kubernetes 集群是否容易受到更广泛的攻击。

未通过身份验证的访问

不会针对未通过身份验证的访问生成 MaliciousIPCaller 调查发现。

针对未通过身份验证的访问会生成 SuccessfulAnonymousAccess 调查发现。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

Discovery:Kubernetes/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了常用于发现 Kubernetes 集群中资源的 API。

默认严重级别:中

  • 功能:EKS 审计日志

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。此 API 通常用于攻击的发现阶段,攻击者在该阶段会收集信息,以确定 Kubernetes 集群是否容易受到更广泛的攻击。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

Discovery:Kubernetes/SuccessfulAnonymousAccess

未经身份验证的用户调用了常用于发现 Kubernetes 集群中资源的 API。

默认严重级别:中

  • 功能:EKS 审计日志

此调查发现通知您,system:anonymous 用户成功调用了 API 操作。由 system:anonymous 发出的 API 调用未经身份验证。此 API 通常与攻击的发现阶段有关,攻击者在该阶段将收集有关您的 Kubernetes 集群的信息。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。

此调查发现类型不包括运行状况检查 API 端点(例如 /healthz/livez/readyz/version)。

修复建议:

您应检查集群上已授予 system:anonymous 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅《Amazon EKS 用户指南》中的 Amazon EKS 安全最佳实践

有关更多信息,请参阅 修复 EKS 防护调查发现

Discovery:Kubernetes/TorIPCaller

某个 Tor 出口节点 IP 地址调用了常用于发现 Kubernetes 集群中资源的 API。

默认严重级别:中

  • 功能:EKS 审计日志

此调查发现通知您,Tor 出口节点 IP 地址调用了 API。此 API 通常用于攻击的发现阶段,攻击者在该阶段会收集信息,以确定 Kubernetes 集群是否容易受到更广泛的攻击。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问您的 Kubernetes 集群,并意图隐藏攻击者的真实身份。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

Execution:Kubernetes/ExecInKubeSystemPod

kube-system 命名空间内的容器组中执行了一条命令

默认严重级别:中

  • 功能:EKS 审计日志

此调查发现通知您,通过使用 Kubernetes exec API,在 kube-system 命名空间内的容器组中执行了一条命令。kube-system 命名空间是默认命名空间,主要用于系统级组件,例如 kube-dnskube-proxy。在 kube-system 命名空间下的容器组或容器内执行命令的情况很少见,这种情况可能表明存在可疑活动。

修复建议:

如果意外执行此命令,则用于执行该命令的用户身份凭证可能已被盗用。撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

Impact:Kubernetes/MaliciousIPCaller

一个已知的恶意 IP 地址调用了常用于篡改 Kubernetes 集群中资源的 API。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。此 API 通常与冲击策略有关,在这种策略中,攻击者试图操纵、中断或销毁您 Amazon 环境中的数据。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

Impact:Kubernetes/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了常用于篡改 Kubernetes 集群中资源的 API。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API 操作。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。此 API 通常与冲击策略有关,在这种策略中,攻击者试图操纵、中断或销毁您 Amazon 环境中的数据。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

Impact:Kubernetes/SuccessfulAnonymousAccess

未经身份验证的用户调用了常用于篡改 Kubernetes 集群中资源的 API。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,system:anonymous 用户成功调用了 API 操作。由 system:anonymous 发出的 API 调用未经身份验证。此 API 通常与攻击的影响阶段有关,攻击者在此阶段将篡改集群中的资源。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。

修复建议:

您应检查集群上已授予 system:anonymous 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅《Amazon EKS 用户指南》中的 Amazon EKS 安全最佳实践

有关更多信息,请参阅 修复 EKS 防护调查发现

Impact:Kubernetes/TorIPCaller

Tor 出口节点 IP 地址调用了常用于篡改 Kubernetes 集群中资源的 API。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,Tor 出口节点 IP 地址调用了 API。观测到的 API 通常与冲击策略有关,在这种策略中,攻击者试图操纵、中断或销毁您 Amazon 环境中的数据。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问您的 Kubernetes 集群,并意图隐藏攻击者的真实身份。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

Persistence:Kubernetes/ContainerWithSensitiveMount

启动了挂载有敏感外部主机路径的容器。

默认严重级别:中

  • 功能:EKS 审计日志

此调查发现通知您,启动的容器配置了在 volumeMounts 部分具有写入权限的敏感主机路径。这使敏感主机路径可以从容器内部进行访问和写入。攻击者通常使用这种技术来访问主机的文件系统。

修复建议:

如果意外启动此容器,则用于启动容器的用户身份凭证可能已被盗用。撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

如果此容器的启动是正常的活动,则建议您使用由基于 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 字段的筛选条件组成的抑制规则。在筛选条件中,imagePrefix 字段应与调查发现中指定的 imagePrefix 字段相同。要了解有关创建抑制规则的更多信息,请参阅抑制规则

Persistence:Kubernetes/MaliciousIPCaller

已知的恶意 IP 地址调用了常用于获得对 Kubernetes 集群具有持久访问权限的 API。

默认严重级别:中

  • 功能:EKS 审计日志

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。观测到的 API 通常与持久性策略有关,在这种策略中,攻击者已获得对您的 Kubernetes 集群的访问权限并试图长久保有该访问权限。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

Persistence:Kubernetes/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了常用于获得对 Kubernetes 集群具有持久访问权限的 API。

默认严重级别:中

  • 功能:EKS 审计日志

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API 操作。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。观测到的 API 通常与持久性策略有关,在这种策略中,攻击者已获得对您的 Kubernetes 集群的访问权限并试图长久保有该访问权限。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

Persistence:Kubernetes/SuccessfulAnonymousAccess

未经身份验证的用户调用了常用于获取 Kubernetes 集群高级权限的 API。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,system:anonymous 用户成功调用了 API 操作。由 system:anonymous 发出的 API 调用未经身份验证。此 API 通常与持久性策略有关,在这种策略中,攻击者已获得对您的集群的访问权限并试图长久保有该访问权限。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。

修复建议:

您应检查集群上已授予 system:anonymous 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅《Amazon EKS 用户指南》中的 Amazon EKS 安全最佳实践

有关更多信息,请参阅 修复 EKS 防护调查发现

Persistence:Kubernetes/TorIPCaller

Tor 出口节点 IP 地址调用了常用于获得对 Kubernetes 集群具有持久访问权限的 API。

默认严重级别:中

  • 功能:EKS 审计日志

此调查发现通知您,Tor 出口节点 IP 地址调用了 API。观测到的 API 通常与持久性策略有关,在这种策略中,攻击者已获得对您的 Kubernetes 集群的访问权限并试图长久保有该访问权限。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问您的 Amazon 资源,并意图隐藏攻击者的真实身份。

修复建议:

如果 KubernetesUserDetails 部分下调查发现报告的用户是 system:anonymous,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 Amazon EKS 安全最佳实践部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

默认服务账户被授予了 Kubernetes 集群的管理员权限。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,Kubernetes 集群中命名空间的默认服务账户已被授予管理员权限。Kubernetes 会为集群中的所有命名空间创建一个默认服务账户。还会自动将默认服务帐号作为身份,分配给尚未明确关联到其他服务帐号的容器组。如果默认服务帐户具有管理员权限,则可能会导致容器组无意中以管理员权限启动。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。

修复建议:

不应使用默认服务帐户向容器组授予权限。相反,您应为每个工作负载都分别创建一个专用服务帐户,并根据需要向相应的帐户授予权限。要解决此问题,您应为所有容器组和工作负载创建专用服务帐户,并更新容器组和工作负载以从默认服务帐户迁移到其专用帐户。然后删除默认服务账户的管理员权限。有关更多信息,请参阅 修复 EKS 防护调查发现

Policy:Kubernetes/AnonymousAccessGranted

system:anonymous 用户已获得 Kubernetes 集群的 API 权限。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现通知您,Kubernetes 集群上的用户成功创建了 ClusterRoleBindingRoleBinding,以将用户 system:anonymous 绑定到某个角色。这样就可以在未经身份验证的情况下访问此角色允许的 API 操作。如果这类活动不是正常活动,则可能是配置错误或您的凭据遭到盗用。

修复建议:

您应检查已授予集群上的 system:anonymous 用户或 system:unauthenticated 群组的权限,并撤消不必要的匿名访问权限。有关更多信息,请参阅《Amazon EKS 用户指南》中的 Amazon EKS 安全最佳实践。如果权限是恶意授予的,则应撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

Policy:Kubernetes/ExposedDashboard

Kubernetes 集群的控制面板已在 Internet 上暴露

默认严重级别:中

  • 功能:EKS 审计日志

此调查发现通知您,集群的 Kubernetes 控制面板已通过负载均衡器服务在 Internet 上暴露。暴露的控制面板会使他人可从 Internet 访问到集群的管理界面,从而让攻击者利用可能存在的任何身份验证和访问控制漏洞进行攻击操作。

修复建议:

您应确保在 Kubernetes 控制面板上强制执行严格的身份验证和授权。还应实施网络访问控制,以限制特定 IP 地址对控制面板的访问。

有关更多信息,请参阅 修复 EKS 防护调查发现

Policy:Kubernetes/KubeflowDashboardExposed

Kubernetes 集群的 Kubeflow 控制面板已在 Internet 上暴露

默认严重级别:中

  • 功能:EKS 审计日志

此调查发现通知您,集群的 Kubeflow 控制面板已通过负载均衡器服务在 Internet 上暴露。暴露的 Kubeflow 控制面板会使他人可从 Internet 访问到 Kubeflow 环境的管理界面,从而让攻击者利用可能存在的任何身份验证和访问控制漏洞进行攻击操作。

修复建议:

您应确保在 Kubeflow 控制面板上强制执行严格的身份验证和授权。还应实施网络访问控制,以限制特定 IP 地址对控制面板的访问。

有关更多信息,请参阅 修复 EKS 防护调查发现

PrivilegeEscalation:Kubernetes/PrivilegedContainer

您的 Kubernetes 集群上启动了一个具有根级访问权限的特权容器。

默认严重级别:中

  • 功能:EKS 审计日志

此调查发现通知您,您的 Kubernetes 集群上启动了一个特权容器,所使用的镜像以前从未用于启动集群中的特权容器。特权容器具有对主机的根级访问权限。攻击者可以启动特权容器作为权限升级策略,以获得对主机的访问权限,然后攻击主机。

修复建议:

如果意外启动此容器,则用于启动容器的用户身份凭证可能已被盗用。撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

以异常方式调用了某个通常用于访问机密的 Kubernetes API。

默认严重级别:中

  • 功能:EKS 审计日志

此调查发现表明,集群中有某个 Kubernetes用户进行了异常 API 操作调用来检索敏感的集群机密。观察到的 API 通常与可能导致在集群中升级权限和进一步访问的凭证访问战术有关。如果此行为不是预期行为,则可能说明有配置错误或您的 Amazon 凭证已经泄露。

GuardDuty 异常检测机器学习(ML)模型确定观察到的 API 有异常。该 ML 模型会评估 EKS 集群中所有用户的 API 活动,并识别与未授权用户所用技巧相关的异常事件。该 ML 模型会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理以及用户操作的命名空间。您可以在 GuardDuty 控制台的调查发现详细信息面板中看到异常 API 请求的详细信息。

修复建议:

检查向集群中的 Kubernetes 用户授予的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

如果您的 Amazon 凭证被泄露,请参阅修复可能被泄露的 Amazon 凭证

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

在 Kubernetes 集群中创建或修改了与某个过于宽松的角色或敏感命名空间的 RoleBinding 或 ClusterRoleBinding。

默认严重级别:中*

注意

此调查发现的默认严重级别为“中”。但是,如果 RoleBinding 或 ClusterRoleBinding 涉及集群角色 admincluster-admin,则严重性为“高”。

  • 功能:EKS 审计日志

此调查发现表明,Kubernetes 集群中有用户创建了一个将用户绑定到具有管理员权限或敏感命名空间的角色的 RoleBindingClusterRoleBinding。如果此行为不是预期行为,则可能说明有配置错误或您的 Amazon 凭证已经泄露。

GuardDuty 异常检测机器学习(ML)模型确定观察到的 API 有异常。该 ML 模型会评估 EKS 集群中所有用户的 API 活动。该 ML 模型还会识别与未授权用户所用技巧相关的异常事件。该 ML 模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理以及用户操作的命名空间。您可以在 GuardDuty 控制台的调查发现详细信息面板中看到异常 API 请求的详细信息。

修复建议:

检查授予 Kubernetes 用户的权限。这些权限是在 RoleBindingClusterRoleBinding 所涉角色和主体中定义的。如果权限是错误或恶意授予的,则应撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

如果您的 Amazon 凭证被泄露,请参阅修复可能被泄露的 Amazon 凭证

Execution:Kubernetes/AnomalousBehavior.ExecInPod

在容器组(pod)内部以异常方式执行了某个命令。

默认严重级别:中

  • 功能:EKS 审计日志

此调查发现表明,在容器组中使用 Kubernetes exec API 执行了一个命令。Kubernetes exec API 允许在容器组中运行任意命令。如果此行为不是该用户、命名空间或容器组的预期行为,则可能说明有配置错误或您的 Amazon 凭证已经泄露。

GuardDuty 异常检测机器学习(ML)模型确定观察到的 API 有异常。该 ML 模型会评估 EKS 集群中所有用户的 API 活动。该 ML 模型还会识别与未授权用户所用技巧相关的异常事件。该 ML 模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理以及用户操作的命名空间。您可以在 GuardDuty 控制台的调查发现详细信息面板中看到异常 API 请求的详细信息。

修复建议:

如果此命令的执行不符合预期,则用于执行该命令的用户身份凭证可能已经泄露。撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

如果您的 Amazon 凭证被泄露,请参阅修复可能被泄露的 Amazon 凭证

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

以异常方式使用特权容器启动了某个工作负载。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现表明,使用 Amazon EKS 集群中的特权容器启动了某个工作负载。特权容器具有对主机的根级访问权限。未授权用户可能将启动特权容器作为权限升级战术,用来首先获得对主机的访问权限,然后攻陷主机。

GuardDuty 异常检测机器学习(ML)模型确定观察到的容器创建或修改有异常。该 ML 模型会评估 EKS 集群中所有用户的 API 和容器映像活动。该 ML 模型还会识别与未授权用户所用技巧相关的异常事件。该 ML 模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理、在账户中观察到的容器映像以及用户操作的命名空间。您可以在 GuardDuty 控制台的调查发现详细信息面板中看到异常 API 请求的详细信息。

修复建议:

如果此容器启动不符合预期,则用于启动容器的用户身份凭证可能已经泄露。撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

如果您的 Amazon 凭证被泄露,请参阅修复可能被泄露的 Amazon 凭证

如果此容器启动符合预期,则建议您根据 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 字段使用具有筛选条件的抑制规则。在筛选条件中,imagePrefix 字段应与调查发现中指定的 imagePrefix 字段具有相同的值。有关更多信息,请参阅 GuardDuty 中的抑制规则

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

以异常方式部署了某个工作负载,并在工作负载内挂载了某个敏感主机路径。

默认严重级别:高

  • 功能:EKS 审计日志

此调查发现表明,使用在 volumeMounts 部分包含敏感主机路径的容器启动了某个工作负载。这可能会使该敏感主机路径可以从该容器内部进行访问和写入。未授权用户通常使用这种技术来获取主机文件系统的访问权限。

GuardDuty 异常检测机器学习(ML)模型确定观察到的容器创建或修改有异常。该 ML 模型会评估 EKS 集群中所有用户的 API 和容器映像活动。该 ML 模型还会识别与未授权用户所用技巧相关的异常事件。该 ML 模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理、在账户中观察到的容器映像以及用户操作的命名空间。您可以在 GuardDuty 控制台的调查发现详细信息面板中看到异常 API 请求的详细信息。

修复建议:

如果此容器启动不符合预期,则用于启动容器的用户身份凭证可能已经泄露。撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

如果您的 Amazon 凭证被泄露,请参阅修复可能被泄露的 Amazon 凭证

如果此容器启动符合预期,则建议您根据 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 字段使用具有筛选条件的抑制规则。在筛选条件中,imagePrefix 字段应与调查发现中指定的 imagePrefix 字段具有相同的值。有关更多信息,请参阅 GuardDuty 中的抑制规则

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

以异常方式启动了某个工作负载。

默认严重级别:低*

注意

默认严重性为“低”。但是,如果工作负载包含可能可疑的映像名称(例如已知的渗透测试工具),或者容器在启动时运行可能可疑的命令(例如反向 Shell 命令),则此调查发现类型的严重性将视为“中”。

  • 功能:EKS 审计日志

此调查发现表明,是在您的 Amazon EKS 集群中以异常方式(例如 API 活动、新容器映像或有风险的工作负载配置)创建或修改了某个 Kubernetes 工作负载。未授权用户可能将启动容器作为执行任意代码的战术,用来首先获得对主机的访问权限,然后攻陷主机。

GuardDuty 异常检测机器学习(ML)模型确定观察到的容器创建或修改有异常。该 ML 模型会评估 EKS 集群中所有用户的 API 和容器映像活动。该 ML 模型还会识别与未授权用户所用技巧相关的异常事件。该 ML 模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理、在账户中观察到的容器映像以及用户操作的命名空间。您可以在 GuardDuty 控制台的调查发现详细信息面板中看到异常 API 请求的详细信息。

修复建议:

如果此容器启动不符合预期,则用于启动容器的用户身份凭证可能已经泄露。撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

如果您的 Amazon 凭证被泄露,请参阅修复可能被泄露的 Amazon 凭证

如果此容器启动符合预期,则建议您根据 resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix 字段使用具有筛选条件的抑制规则。在筛选条件中,imagePrefix 字段应与调查发现中指定的 imagePrefix 字段具有相同的值。有关更多信息,请参阅 GuardDuty 中的抑制规则

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

以异常方式创建或修改了权限极为宽松的角色或集群角色。

默认严重级别:低*

  • 功能:EKS 审计日志

此调查发现表明,Amazon EKS 集群中有 Kubernetes 用户调用了某个异常的 API 操作来创建具有过多权限的 RoleClusterRole。行为者可能使用具有强大权限的角色创建,来避免使用类似管理员的内置角色并逃避检测。过多的权限可能导致权限升级、远程代码执行,并可能导致对命名空间或集群进行控制。如果此行为不是预期行为,则可能说明有配置错误或您的凭证已经泄露。

GuardDuty 异常检测机器学习(ML)模型确定观察到的 API 有异常。该 ML 模型会评估 Amazon EKS 集群中所有用户的 API 活动,并识别与未授权用户所用技巧相关的异常事件。该 ML 模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理、在账户中观察到的容器映像以及用户操作的命名空间。您可以在 GuardDuty 控制台的调查发现详细信息面板中看到异常 API 请求的详细信息。

修复建议:

检查 RoleClusterRole 中定义的权限,确保所有权限都是必需的并遵循最低权限原则。如果权限是错误或恶意授予的,则应撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

如果您的 Amazon 凭证被泄露,请参阅修复可能被泄露的 Amazon 凭证

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

某个用户以异常方式检查了其访问权限。

默认严重级别:低*

  • 功能:EKS 审计日志

此调查发现表明,Kubernetes 集群中有用户成功检查了是否允许可能导致权限升级和远程代码执行的已知强大权限。例如,用于检查用户权限的常用命令是 kubectl auth can-i。如果此行为不是预期行为,则可能说明有配置错误或您的凭证已经泄露。

GuardDuty 异常检测机器学习(ML)模型确定观察到的 API 有异常。该 ML 模型会评估 Amazon EKS 集群中所有用户的 API 活动,并识别与未授权用户所用技巧相关的异常事件。该 ML 模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、检查的权限以及用户操作的命名空间。您可以在 GuardDuty 控制台的调查发现详细信息面板中看到异常 API 请求的详细信息。

修复建议:

检查向 Kubernetes 用户授予的权限,确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 修复 EKS 防护调查发现

如果您的 Amazon 凭证被泄露,请参阅修复可能被泄露的 Amazon 凭证